Gestão de risco no âmbito da continuidade de negócio

Dissertação de mestrado integrado em Engenharia e Gestão Industrial
Nos dias de hoje, para que haja um bom desempenho das organizações, é essencial o acesso constante aos sistemas de informação. Com o risco de interrupção de negócio a ganhar cada vez mais importância, é aconselhado às organizações a implementação de planos de continuidade de negócio, de forma a dar respostas a falhas como pandemias, incêndios, ruturas da cadeia de abastecimento, ou mesmo inundações. O presente projeto de dissertação foi realizado com o objetivo geral de apoiar o desenvolvimento da análise de impacto no negócio, de modo a dar início às duas primeiras atividades que representam os alicerces do processo de continuidade de negócio: a avaliação de risco e a análise de impacto. A metodologia de investigação utilizada para a elaboração do projeto foi a Investigação-Ação. Deste modo, a investigação iniciou-se com uma revisão bibliográfica, abrangendo os conceitos de gestão de risco, continuidade de negócio e, mais especificamente, análise de impacto. Após selecionar a logística da organização como âmbito do projeto, iniciou-se a realização da avaliação de risco. Nesta fase, foi selecionado o cenário mais importante a ter em conta para o âmbito em questão, sendo ele o worst-case scenario (pior cenário possível), de forma a ser considerado ao longo do desenvolvimento da análise de impacto. De seguida, através da aplicação da metodologia de análise de impacto, foi possível mapear os principais processos, identificando 76 processos críticos e 75 processos de criticidade elevada. Concluiu-se também que existem 22 sistemas de informação considerados de criticidade elevada ou crítica. Destes, identificou-se para a maioria dos sistemas um tempo de recuperação máximo de 1 dia (isto significa que no máximo só podem perder-se dados das 24 horas anteriores), assim como um tempo máximo de indisponibilidade de 1 dia (o sistema tem de estar disponível novamente no prazo máximo de 24 horas). Através da metodologia de análise de impacto, foi possível fazer um levantamento exaustivo da informação, para que posteriormente sejam identificadas estratégias de continuidade adequadas para cada sistema e processo identificados e, assim, espoletar na empresa a continuidade de negócio.
Nowadays, constant access to information systems is essential for organizations to perform well. With the risk of business interruption becoming increasingly important, organizations are advised to implement business continuity plans, to respond to failures such as pandemics, fires, supply chain disruptions, or even floods. This dissertation project was carried out with the general objective of supporting the development of Business Impact Analysis in order to initiate the first two activities that represent the foundations of the business continuity process: risk assessment and business impact analysis. The research methodology used to develop the project was Action Research. Thus, the research began with a bibliographic review, covering the concepts of risk management, business continuity and, more specifically, business impact analysis. After selecting the organization's logistics as the scope of the project, the risk assessment began. In this phase, the most important scenario to consider for the business was selected, which was the worst-case scenario, to be taken into consideration throughout the development of the business impact analysis. By applying the impact analysis methodology, it was possible to map the main processes, identifying 76 critical processes and 75 highly critical processes. It was also concluded that there are 22 information systems considered of high or critical criticality. For most systems, there is a maximum recovery time of 1 day (which means that, only data from the previous 24 hours can be lost), as well as a maximum unavailability time of 1 day (the system must be available again within 24 hours). Through the business impact analysis methodology, it was possible to make an exhaustive survey of the information, so that appropriate continuity strategies can then be identified for each system and process mapped, and thus trigger business continuity in the company.